云服务平台警告数千名云计算客户:其数据库可能被暴露
据报道,一封邮件与一名独立安全研究人员的说法显示,该平台在周四发出警告,涉及数千名云计算客户,其中包括全球规模最大的企业,攻击者可能有能力读取、修改甚至删除其核心数据库。
该漏洞出现在该平台的旗舰数据库服务中。安全研究团队发现,攻击者可能获得数千家公司用于访问数据库的密钥。研究团队负责人表示,这是一个可能影响许多客户的重大风险。
由于受影响方无法自行撤回这些密钥,周四该公司向客户发送了通知,建议他们创建新的密钥。官方邮件显示,平台同意向研究团队支付奖励,以表彰其发现并报告了这一漏洞。
平台发言人拒绝就此事发表评论。
在给客户的邮件中,平台表示现已修复漏洞,且没有证据表明漏洞已被利用。邮件还写道:“没有迹象表明除外部研究人员之外的其他实体能够访问主要的读写密钥。”
研究人员表示:“这是你能想象到的最严重的云计算服务漏洞之一。这是一个长期隐藏的秘密。它影响到中央数据库,我们理论上能够获取任何一个客户的数据库访问权限。”
研究人员透露,他们的团队在8月9日发现了被命名为 ChaosDB 的漏洞,并在8月12日向平台报告了此问题。
几个月前,该平台还经历了一起与安全相关的坏消息。有人声称入侵了该平台,窃取了部分源代码。随后,平台还修复了一个允许设备被打印机接管的问题。上周,Exchange 的一处邮件缺陷引发政府紧急警告,要求客户安装几个月前发布的补丁,因为勒索软件团伙正在利用此缺陷。
